Interesting Windows Registry Keys

दिलचस्प Windows रजिस्ट्री कुंजी

AWS हैकिंग सीखें और अभ्यास करें:HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)

हैकट्रिक्स का समर्थन करें

Windows संस्करण और मालिक जानकारी

  • Software\Microsoft\Windows NT\CurrentVersion पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।

कंप्यूटर नाम

  • होस्टनाम System\ControlSet001\Control\ComputerName\ComputerName के तहत पाया जाता है।

समय क्षेत्र सेटिंग

  • सिस्टम का समय क्षेत्र System\ControlSet001\Control\TimeZoneInformation में संग्रहित होता है।

पहुंच समय ट्रैकिंग

  • डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होती है (NtfsDisableLastAccessUpdate=1). इसे सक्षम करने के लिए, इस्तेमाल करें: fsutil behavior set disablelastaccess 0

Windows संस्करण और सेवा पैक

  • Windows संस्करण संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) को दर्शाता है, जबकि सेवा पैक अपडेट हैं जिसमें सुधार और कभी-कभी नए सुविधाएँ शामिल होती हैं।

अंतिम पहुंच समय सक्षम करना

  • अंतिम पहुंच समय ट्रैकिंग सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो जांच या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।

नेटवर्क सूचना विवरण

  • रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3जी) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।

क्लाइंट साइड कैशिंग (CSC)

  • CSC साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न CSCFlags सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, खासकर ऐसे वातावरणों में जिनमें अंतरिक्षिक संयोजन है।

ऑटोस्टार्ट प्रोग्राम

  • विभिन्न Run और RunOnce रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।

शेलबैग्स

  • शेलबैग्स न केवल फ़ोल्डर दृश्यों के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अनमोल हैं, अन्य साधनों के माध्यम से स्पष्ट नहीं होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।

USB सूचना और फोरेंसिक्स

  • USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस थे, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से एक डिवाइस को जोड़ सकते हैं।

वॉल्यूम सीरियल नंबर

  • वॉल्यूम सीरियल नंबर एक फ़ाइल सिस्टम के विशिष्ट उदाहरण का ट्रैकिंग के लिए महत्वपूर्ण हो सकता है, जिसे विभिन्न उपकरणों पर फ़ाइल का मूल स्थान स्थापित करने की आवश्यकता होती है।

शटडाउन विवरण

  • शटडाउन समय और गिनती (केवल XP के लिए) System\ControlSet001\Control\Windows और System\ControlSet001\Control\Watchdog\Display में रखी जाती हैं।

नेटवर्क कॉन्फ़िगरेशन

  • विस्तृत नेटवर्क इंटरफेस जानकारी के लिए, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE} का संदर्भ दें।

  • पहली और आखिरी नेटवर्क कनेक्शन समय, व्यूपीएन कनेक्शन सहित, Software\Microsoft\Windows NT\CurrentVersion\NetworkList में विभिन्न पथों के तहत लॉग किए गए हैं।

साझा फोल्डर

  • साझा फोल्डर और सेटिंग System\ControlSet001\Services\lanmanserver\Shares के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।

स्वचालित रूप से शुरू होने वाले प्रोग्राम

  • पथ जैसे NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run और Software\Microsoft\Windows\CurrentVersion के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।

खोजें और टंकित पथ

  • एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer के तहत WordwheelQuery और TypedPaths के लिए।

हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें

  • हाल ही में दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs और विशेष ऑफिस संस्करण पथों में।

हाल ही में उपयोग किए गए (MRU) आइटम

  • MRU सूचियाँ, हाल ही में फ़ाइल पथ और कमांड को दर्शाती हैं, विभिन्न ComDlg32 और Explorer सबकी में NTUSER.DAT के तहत संग्रहीत होती हैं।

उपयोगकर्ता गतिविधि ट्रैकिंग

  • यूज़र असिस्ट फ़ीचर विस्तृत एप्लिकेशन उपयोग स

Last updated